Pacbot checkt Compliance- und Security-Richtlinien in AWS

- 12. Oktober 2018

Mit Pacbot schickt T-Mobile eine quelloffene Policy-as-Code-Plattform ins Rennen. Die bemerkt und behebt zum Teil Verstöße gegen Compliance- und Security-Richtlinien auf Cloudplattformen.

T-Mobile hat verstanden, worin Deutschland gut ist: in der Bürokratie. Könnte man witzeln. Zwar klingt Continuous Security and Compliance Assessment, die Aufgabe der gerade veröffentlichten Open-Source-Software Pacbot, zunächst nicht sonderlich spannend. Sie könnte aber in der Unternehmenscloud durchaus einen Platz finden.

Pacbot durchforstet Cloudplattformen in AWS nach Verstößen gegen die hauseigenen Sicherheits-Richtlinien und Best Practices. Pacbot achtet nicht nur auf schlecht konfigurierte Dienste, sondern auch auf abgelaufene Zertifikate und Schwachstellen in Diensten.

Die Software kann bestimmte Probleme auch selbstständig beheben, wenn zum gefundenen Regelverstoß ein so genannter Hook vorliegt. Das ist eine Funktion, die das Problem behebt. Dabei lassen sich gefundene Probleme nicht einfach manuell schließen, sondern Pacbot prüft beim nächsten Scan, ob das Problem weiterhin besteht.

Pacbot findet Konfigurationsfehler

Die Telekom hat die Plattform, deren Code unter der Apache-2.0-Lizenz steht, an das eigene Angebot in Amazons AWS-Cloud angepasst. In der Ankündigung argumentiert das Unternehmen, das mit den einfach nutzbaren Public-Cloud-Angeboten auch die Zahl der Konfigurationsfehler ansteige. Letztere würden im Bereich der Cloud-Security inzwischen Platz 1 der Security-Risiken belegen.

Pacbot kommt von T-Mobile, läuft auf AWS und steht unter der Apache-2.0.Lizenz. (Quelle: https://github.com/tmobile/pacbot)

Pacbot soll gegen diesen Trend steuern. Die Software bringt übersichtliche Dashboards inklusive Visualisierungen mit, erlaubt Compliance Monitoring und spuckt am Ende Reports aus. Die Sicherheits- und Compliance-Richtlinien sind dabei direkt in Codeform implementiert, lassen sich also an verschiedene Bedürfnisse anpassen. So hat die Telekom etwa eine Richtlinie implementiert, die alle EC2-Instanzen, die eine oder mehrere Schwachstellen mit einer CVSS-Bewertung größer als 7 aufweisen, als nicht mehr ausreichend gesichert markiert.

Gruppenrichtlinien

Admins dürfen die Infrastruktur zum Beispiel in Asset Groups aufteilen. Gehören neue Instanzen von EC2 dazu, landen sie dann automatisch im Compliance Monitoring. Zugleich lassen sich die Überprüfungen an diese Gruppen anpassen, so dass nicht immer alle Regelverletztungen im Dashboard prominent auftauchen und weniger Rauschen entsteht. Definiert der Admin zu prüfende Regeln, kann er diese gleichfalls auf bestimmte Asset Goups beschränken. So lassen sich Richtlinien auf bestimmte Anwendungen und Domänen zuschneiden.

Weitere Fähigkeiten von Pacbot, das bislang nur in der AWS-Cloud läuft, listet die Github-Seite auf. Sie verrät auch Details zum Stack der Software selbst. Deren Frontend ist mit Angular JS gemacht, das Backend einschließlich der Regeln und Jobs mit Java und der Installer verwendet Python und Terraform.

SCHLAGWORTE

AWS

Verwandte Artikel

Sicherheitslücken: Android braucht Updates

Das erste Android Security Bulletin im Jahr 2024 enthält Details zu Sicherheitslücken, die Sicherheitspatches mit dem Stand 2024-01-05 oder höher beheben.

Emmabuntüs Debian Edition 5 1.01 ersetzt VeraCrypt durch ZuluCrypt

Die ursprünglich für wiederaufbereitete Rechner gedachte Desktop-Distribution Emmabuntüs aktualisiert die enthaltene Software und verbessert die Dokumentation. Betroffen ist dabei die auf Debian basierende Edition 5.

Vim 9.1 bringt neue Features

Der nahezu in jeder Distribution enthaltene Texteditor behebt in seiner neuen Version zwar primär Fehler, offeriert aber auch ein paar interessante zusätzliche Funktionen. So lässt sich jetzt virtueller Text zu einem Buffer hinzufügen.

Julia 1.10 bringt mehr Leistung

Das Programmiersprachenprojekt Julia hat Version 1.10 veröffentlicht, die hauptsächlich Leistungsverbesserungen mitbringt.

Github Copilot Chat für Visual Studio (Code) verfügbar

Github Copilot Chat ist sowohl für Visual Studio Code als auch für Visual Studio allgemein verfügbar, teilt der zu Microsoft gehörende Anbieter mit.

Scribus 1.6.0: DTP mit vielen Neuerungen

Mit Scribus 1.6.0 haben die Entwickler des freien Desktop-Publishing-Programms die nächste stabile Serie gestartet, die die Version 1.4.8 und die Entwicklungsversionen der Serie 1.5.x ablöst.

E-Mail Benachrichtigung

0 Comments

Inline Feedbacks

Alle Kommentare anzeigen

Auf gut 460 Seiten unseres Jubiläums-Pakets "100 Ausgaben Kern-Technik" erfahren Sie alles rund um den Linux-Kernel. Die aktualisierte Zusammenstellung umfasst alle 100 Folgen aus dem Linux-Magazin 11/2018.

Die C++11-Reihe gehört zu den beliebtesten Serien im Linux-Magazin. Sie stellt alle wichtigen Neuerungen im neuen C++-Standard C++11 und darüber hinaus dar.

Seit inzwischen 10 Jahren schreibt Charly Kühnast nun seine Kolumne Aus dem Alltag eines Sysadmins. 122 Seiten Charly versprechen Unterhaltung und Information für den Admin pur.

Das Bundle für Admins und interessierte Anwender dekliniert Benutzer- und Identitätsverwaltung anhand der bekanntesten Themen LDAP und Apache Directory Server.

Das 12-teilige Bundle "Postwesen" enthält handverlesenes E-Mail-Knowhow aus dem Linux-Magazin der letzten zwei Jahre und gibt einen facettenreichen Kompaktkurs an die Hand.

100 Ausgaben Kern-Technik

C++11-Paket: Folgen 1 bis 16

10 Jahre Charly

Der gute Hirte. Großes Einmaleins der Benutzerverwaltung

Expertenpost. Das Bundle rund um E-Mail, Spam, Mailserver und IMAP